LastPass confirma que hackers roubaram cofres de senhas criptografadas... Quatro meses atrás

Manter o controle de todas as nossas senhas é uma coisa difícil, especialmente porque é uma prática ruim reutilizá-las em várias contas, elas também devem ser fortes e difíceis de adivinhar. Nossa melhor solução é usar um gerenciador de senhas, assim conseguimos senhas fortes e difíceis de adivinhar e evitamos o incômodo de memorizar todas elas (o que aliás não consigo), estão todas em um só lugar, mas o que acontece se o seu gerenciador de senhas tiver uma violação de segurança e seu cofre de senhas vazar? Isso aconteceu há quatro meses, e eles só estão contando agora.

Uma rápida recapitulação do que estava acontecendo

25 de agosto de 2022

O LastPass postou uma nota oficial de que havia notado uma atividade incomum duas semanas antes e começou a investigá-la, mas não havia evidências de acesso a nenhum dado do cliente. Aparentemente, o invasor só teve acesso a uma parte do código-fonte por meio do ambiente de desenvolvimento.

15 de setembro de 2022

Eles concluíram sua investigação e perícia com a equipe Mandiant , após terminar a investigação concluíram que a atividade dos atacantes estava limitada a um período de 4 dias em agosto e que a equipe foi rápida em conter o incidente.

Ainda de acordo com a investigação, a violação aconteceu no ambiente de desenvolvimento, que tecnicamente não tem acesso aos dados dos clientes ou cofres de senhas.

Mesmo tendo acesso aos cofres de senhas criptografadas dos usuários, nada pode ser feito sem a senha mestra do usuário, que faz parte de seu modelo de segurança de conhecimento zero (lembre-se dessa última frase).

30 de novembro de 2022

Como parte de seu compromisso de transparência, eles adicionaram uma atualização à situação de violação, afirmando que notaram atividade incomum em um serviço de armazenamento em nuvem de terceiros, que é compartilhado por LastPass e GoTo e, novamente, iniciaram uma investigação com o Mandiant equipe.

Desta vez, eles afirmaram que a violação ocorrida em agosto realmente deu ao invasor acesso a “certos elementos” das informações dos clientes, mas que todas as senhas estão seguras, novamente, devido ao seu modelo de segurança de conhecimento zero.

O que está acontecendo agora?

No dia 22 de dezembro de 2022, o LastPass veio a público para informar que, na falha de segurança de agosto, o invasor conseguiu obter informações de identificação pessoal, incluindo nome da empresa, nome do usuário final, e-mails, endereços de cobrança, números de telefone e endereços IP, bem como, espere por isso, Password Vaults . 🤯

De acordo com o LastPass, seu cofre de senhas é totalmente seguro e inquebrável, considerando que você seguiu todas as diretrizes para proteger a criação da senha mestra.

No momento, não há evidências de que nenhum dado de cartão de crédito não criptografado tenha vazado, o que, neste momento, tenho minhas preocupações, pois levaram 4 meses para vir ao público, dizendo que PII e cofres de senhas estão nas mãos dos invasores.

Pode consultar a íntegra do Aviso de Incidente aqui

Quão seguras são minhas senhas?

Se você seguiu toda a diretriz do LastPass para criação de senha, provavelmente está seguro, os invasores começarão a usar dicionários de bilhões de senhas já vazadas (o dicionário RockYou2021 tem incríveis 8,4 bilhões de senhas) para acelerar o processo.

Os invasores também podem tentar usar força bruta em sua senha, mas se você acha que isso levaria muito tempo, pense novamente. À medida que a tecnologia evolui, também diminui o tempo para quebrar senhas, o salto entre um RTX 3090 e um RTX 4090 é quase 2x para quase todos os algoritmos.

Você deve estar se perguntando quanto tempo levaria para alguém quebrar uma senha complexa, alguém realmente testou isso com o hardware mais recente, eles usaram um RTX 4090 8-card rig e foram capazes de quebrar uma senha altamente complexa de 8 dígitos em 48 minutos usando Hashcat, de acordo com este artigo da BitDefender .

Portanto, para ter certeza de que suas contas estão seguras, é altamente recomendável que você altere todas as senhas de contas que você armazenou no LastPass, incluindo sua senha mestra.